[发明专利]一种Crossfire链路洪泛攻击的SND移动目标防御方法

说明书

本发明公开了一种Crossfire链路洪泛攻击的SDN移动目标防御方法，包括下列步骤：1)对于给定的一个网络拓扑，将其构建为基于关系序偶集合的网络模型；2)拥塞监控组件对构建出的网络模型进行监控，并根据监控结果判断网络模型是否出现严重拥塞链路，若判断结果为“是”，则利用SDN控制器动态调整网络配置和网络行为：若判断结果为“否”，则继续监控；该Crossfire链路洪泛攻击的SDN移动目标防御机制在进行Crossfire链路洪泛攻击防御时，利用SDN的重路由策略疏解被攻击链路的拥塞负载，通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。

技术领域

本发明涉及网络信息安全技术领域，特别涉及一种Crossfire链路洪泛攻击的SDN移动目标防御方法。

背景技术

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击对互联网的威胁日益严重，根据攻击目标，DDoS攻击分为应用程序、主机、资源、网络和基础设施攻击。随着网络技术的发展，新的DDoS攻击也层出不穷，Crossfire攻击就是典型代表。该类攻击造成关键链路的拥塞，破坏或切断网络目标区域的访问链接，使网络服务受到严重干扰，Crossfire攻击实现过程如图1所示。由于Crossfire攻击难以检测且危害严重，其实现机制和攻击特性造成传统网络安全措施对其难以防御。

传统的DDoS攻击防御机制单纯检测流量特征并根据流量和数据包的属性，过滤攻击流量，检测精度低，响应速度慢，攻击者容易避开检测机制并导致防御失效。现行的DDoS防御机制用于防御Crossfire攻击，将不可避免地产生大量攻击误报，不仅干扰了正常的网络服务，也降低了防御机制的可信度。同时，DDoS检测和防御机制本身的开销也会造成网络服务质量的下降。对比之下，SDN具有控制层与数据层分离、集中网络控制和视图、开放控制层与数据层之间的设备接口、网络外部可编程性4个关键特性，利用SDN防御Crossfire攻击，可以避免繁琐复杂的配置操作并减少失误，有利于统一快速部署。但目前针对Crossfire攻击尚缺少有效的检测和防御机制。

发明内容

本发明的目的是提供一种Crossfire链路洪泛攻击的SDN移动目标防御方法。

为此，本发明技术方案如下：

一种Crossfire链路洪泛攻击的SDN移动目标防御方法，包括按顺序进行的下列步骤：

1)对于给定的一个网络拓扑，将其构建为基于关系序偶集合的网络模型；

2)拥塞监控组件对步骤1)中构建出的网络模型进行监控，并根据监控结果判断网络模型是否出现严重拥塞链路，若判断结果为“是”，则利用SDN控制器动态调整网络配置和网络行为：若判断结果为“否”，则继续监控。

进一步的，所述的步骤1)中构建基于关系序偶集合的网络模型的方法如下：

1-1)获取给定网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息；

1-2)计算交换机或者路由器的节点与通信链路的流量矩阵D_(p+q)×(p+q)，用来表示通信链路的节点流量信息；若流量矩阵D_(p+q)×(p+q)中的元素d_ij等于0，则表示节点v_i和节点v_j之间不存在通信链路；否则，d_ij表示节点v_i和节点v_j之间直连通信链路的流量大小；

1-3)将通信业务与其经过的链路组成关系序偶，将节点与和其直接相连的链路组成关系序偶，将可疑实体与被洪泛链路组成关系序偶，将可疑节点与被洪泛链路组成关系序偶，从而将给定网络拓扑构建为基于关系序偶集合的网络模型，并不断对关系序偶进行更新。